Schwerpunkte

ISO/SAE 21434

Cybersecurity im Fahrzeug

20. Juli 2021, 09:15 Uhr   |  Iris Stroh

Cybersecurity im Fahrzeug
© NVIDIA

Danny Shapiro, Nvidia: »Ein Fahrzeug ist nur so sicher wie sein schwächstes Teil. Aber der neue ISO/SAE-Standard gewährleistet, dass die gesamte Lieferkette das Security-Niveau jeder einzelnen Komponente kommuniziert.«

Die UNECE (Wirtschaftskommission für Europa der Vereinten Nationen) hat mit WP.291 bereits zwei bindende Vorschriften zur Cybersicherheit am Automotive-Markt verabschiedet; ISO/SAE 21434 soll Ende dieses Jahres fertig sein.

In einer Studie von McKinsey & Company (Cybersecurity in automotive) vom März letzten Jahres heißt es, dass durch Schlagzeilen über Hacks an Autos die Sorge um die Cybersicherheit moderner Fahrzeuge real geworden ist. Daraufhin hätten auch die Regulierungsbehörden damit begonnen, die Mindestanforderungen an die Cybersicherheit von Neuwagen zu definieren. Erstes Ergebnis: die UNECE-Regelung WP.291 zu Cybersicherheit und Software Updates.

Aus der Sicht der Analysten wird die Cybersicherheit zunehmend zum Qualitätsstandard für die Automobilindustrie, und zwar in einem ähnlichen Ausmaß wie heute die physische Sicherheit für viele Käufer ein wichtiges Kriterium bei der Kaufentscheidung darstellt. Cybersecurity wird für die Branche unverzichtbar werden, dazu seien aber neue Prozesse, Fähigkeiten und Arbeitsweisen entlang der automobilen Wertschöpfungskette erforderlich. Dazu zählen die Analysten die Identifizierung von Cyber-Risiken, das Design sicherer Software- und Hardware-Architekturen sowie die Entwicklung und das Testen von sicherem Code und Chips, um zu gewährleisten, dass Probleme – auch nach Jahren – über Software Updates behoben werden können. Dahinter steckt aus Sicht von McKinsey auch ein großer Markt, denn der steigende Bedarf an Cybersicherheit wird in den nächsten Jahren deutlich mehr Investitionen benötigen. So erwarten die Analysten, dass der Markt von 4,9 Mrd. Dollar im Jahr 2020 auf 9,7 Mrd. Dollar im Jahr 2030 wachsen wird, aufgeteilt auf drei Bereiche: Hardware, Software und Cybersecurity-Prozesse (z.B. Software Traceability, Risk Management oder Fahrzeugüberwachung mithilfe von SOCs, Security Operations Center), wobei das Softwaregeschäft bis 2030 die Hälfte des Marktes ausmachen wird.

Die UNECE-WP.29-Regelungen zu Cybersicherheit und Software Updates geben lediglich einen organisatorischen Rahmen und Mindestanforderungen vor, die sich auf alle Akteure entlang der Wertschöpfungskette im Automobilbereich auswirken. Sie bieten aber keine detaillierten Anleitungen zu betrieblichen Praktiken. Aus der Sicht der Analysten wird der neue ISO/SAE-Standard 21434 jedoch als erster Standard angesehen, der klare organisatorische, prozedurale und technische Anforderungen für den gesamten Lebenszyklus eines Fahrzeugs festlegt, von der Entwicklung über die Produktion bis hin zum After-Sales-Bereich. Zusammen mit dem AWI-24089-Standard („Road vehicles – software update engineering“, ebenfalls in der Entwicklung, kein reiner Cybersecurity-Standard, aber mit Cybersecurity-Inhalten) soll es möglich werden, dass die Industrie gemeinsame Cybersicherheitspraktiken speziell für die Fahrzeugentwicklung und -herstellung implementieren kann. Die Analysten erwarten außerdem, dass damit auch eine Bewertung der Einhaltung dieser Praktiken und eine Bescheinigung durch Dritte möglich wird, die zwischen den Akteuren der Branche verwendet werden kann, um die Einhaltung der Standards nachzuweisen, zum Beispiel in Verträgen zwischen OEMs und Zulieferern. Die unabhängige Bescheinigung von Sicherheitspraktiken wird einen wachsenden Markt für Auditierungs-, Inspektions- und Zertifizierungsunternehmen schaffen. Rechtsexperten sehen darin auch die Grundlage für die Lösung von Rechtsstreitigkeiten und Haftungsfragen bei cybersicherheitsrelevanten Fahrzeugvorfällen.

Demuth_Carsten
© STMicroelectronics

Carsten Demuth, STMicroelectronics: »In Anbetracht der Tatsache, dass die Norm keine spezifischen Gegenmaßnahmen für verschiedene Bedrohungen vorschreibt und auf einer allgemeineren Ebene gilt, schafft sie in erster Linie ein Bewusstsein für Cybersecurity und damit auch für deren Auswirkungen auf die Sicherheit.«

Der Standard ist willkommen

ISO/SAE 21434 (Road Vehicles – Cybersecurity Engineering) adressiert das Thema Cybersecurity auf der Seite der E/E-Systeme und legt Anforderungen in Hinblick auf das Cybersecurity-Risikomanagement für Straßenfahrzeuge, deren Komponenten und Schnittstellen fest, und zwar für den gesamten Lebenszyklus eines Fahrzeugs, vom Konzept und der Entwicklung über die Produktion, den Betrieb und die Wartung bis hin zur Außerbetriebnahme.

Die bisherigen Reaktionen auf den neuen Standard sind durchaus positiv. So heißt es beim VDA: »Ein vergleichbarer Ansatz hat sich bereits im Bereich der funktionalen Sicherheit mit dem Industriestandard ISO 26262 bewährt. Analog dazu hat der VDA mit seinen Mitgliedern eine Standardisierung für Automotive Security Engineering initiiert. Mit Blick auf eine globale Wirkung wurde eine gemeinsame Arbeitsgruppe der Standardisierungsorganisationen ISO2 und SAE3 zur Erstellung des Standards ISO-SAE AWI 21434 etabliert. Mit diesem Standard wird eine Grundlage geschaffen, die Ziele von Automotive Security zu einem einheitlichen Bestandteil des gesamten Entwicklungsprozesses in der Automobilindustrie zu machen. Es werden die relevanten Aspekte für die Produktdefinition, das Design, die Implementierung sowie das Testen mit diesem Standard beschrieben. Der Standard schreibt jedoch keine spezifische Technologie vor. Mit diesem Standard wird aus Sicht der Automobilindustrie ein durchgängiges, konsistentes, anwendungsbezogenes und risikoangepasstes Verständnis für Security by Design in der Produktentwicklung und entlang der gesamten Zulieferkette erreicht.« Dr. Elmar Degenhart, früherer Vorstandsvorsitzender von Continental, wiederum hatte bereits 2019 erklärt: »Als Voraussetzung für den Datenverkehr muss der Datenschutz des Autos genauso sicher sein wie modernes Onlinebanking.« Also sei eine rasche Umsetzung des neuen Industriestandards für Cybersecurity erforderlich.

Das Interesse seitens der Industrie ist einfach nachzuvollziehen, denn Hacking-Attacken ruinieren nicht nur den Ruf eines OEM, er kostet auch enorm viel Geld. In einem anderen Report von McKinsey (Cybersecurity in a Digital Era) wird beispielsweise auf ein Beispiel verwiesen, bei dem ein Automobilhersteller 2015 in einem der ersten Fälle von Cybersecurity-Risiken in der Automobilindustrie rund 1,4 Millionen Fahrzeuge zurückrufen musste. Die Auswirkungen des Rückrufs waren beträchtlich, mit potenziellen Kosten für den OEM von fast 600 Mio. Dollar, basierend auf den Berechnungen von McKinsey.

Auch die Halbleiterindustrie ist überzeugt, dass ISO/SAE 21434 von Vorteil ist, auch wenn das eine oder andere Problem dadurch auftaucht. Welche Auswirkungen die Norm haben wird oder ob es zum Beispiel ähnlich wie bei Safety (ISO 26262, ASIL A bis ASIL D) eine Klassifizierung von unterschiedlichen Cybersecurity Levels geben wird, haben die Hersteller zum Teil unterschiedlich beantwortet.

Seite 1 von 4

1. Cybersecurity im Fahrzeug
2. Infineon Technologies
3. "...gemeinsames Vokabular für die Security..."
4. STMicroelectronics

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

NVIDIA Corporate, STMicroelectronics GmbH, INFINEON Technologies AG Neubiberg, XILINX GmbH, NXP Semiconductors Germany, McKinsey Global Institute (Deutschland)